# 証技術入門



第 19 回(最終回)

## 形式的検証技術の現状と今後の動向

藤田昌宏

この連載では、システムLSIを中心としたハードウェア設計検 証を形式的に行う手法について解説してきました. 連載の最後 に、形式的検証技術の現状と今後の動向について、いくつかの 観点から, 個人的視点も含めて説明します. (筆者)

論理式の計算機上における取り扱いに関する技術は,近 年大きく進歩しています、そしてそれに関連して、形式的 検証技術が適用できる範囲が広がりつつあります.ここで はその状況、ならびに仕様記述法の動向などを中心に解説 します.

現状をごく簡単にまとめると,形式的検証ツールや手法 は,誰でも使えるという段階ではありません.依然として 「よく分かっている人が賢く使えば,非常に強力なツール である」という事実は変化していません.しかし,技術の

与えられた和積形論理式(CNF formula)f:

(a,b,c)

● 項(clause)の積

 $(C_1, C_2, C_3)$ 

● 項:リテラル( literals; 変数かその否定)の和

すべての項の少なくとも一つのリテラルを1とするような 変数値の組み合わせが存在するか?

> 例:  $(a+b+\bar{c})(\bar{a}+c)(a+\bar{b}+c)$ a=b=c=1 $C_1$  $C_2$  $C_3$

### 図1 SAT(論理関数の充足可能性判定)問題

通常は積和形(conjunctive normal form: CNF)で表現された論理式全体を 1とするような変数の値の組み合わせが存在するか否かを判定する問題.

進歩は確実に進んでいること、そして仕様記述言語の標準 化が大きく進んだこと、それにツールの使い方に関する解 説も増えていることから,以前より,賢く使っている人が 増えていることは事実です. いくつかの技術的分野で大き な進歩もあり,システム・レベル設計など,高位設計支援 技術の導入が進むであろう今後が楽しみであるといえます. 以下では、いくつかの観点から現状と今後について解説し ます.

### SAT手法は近年、大きく進歩している

形式的検証に関する基盤技術の中で,近年もっとも研究 が進み,結果としてツールの性能が飛躍的に向上している ものに, 論理関数の充足可能性(satisfiability)判定手法, いわゆるSAT 手法があります.

### ● SAT 問題を解く SAT ソルバ

SAT問題(論理関数の充足可能性判定問題)とは,図1 に示すように, 通常は積和形 conjunctive normal form: CNF)で表現された論理式全体を1とするような変数の値 の組み合わせが存在するか否かを判定する問題です.問題 の難しさの観点からは, NP完全(NP-complete)になりま す. つまり, 論理変数の数に対して, 最悪の場合, 処理に 指数的な時間が必要となると考えられています.

形式的検証手法の多くの問題は、いくつかの変換を行う ことにより, SAT問題に変換できることが分かっていま す.このため,SAT問題と解くツールであるSATソルバ

KeyWord

形式的検証,SAT手法,モデル・チェッキング,Bounded解析,等価性検証,仕様記述手法,PSL,SVA, 検証IP

は形式的検証手法にとって、非常に重要な要素技術となっ ています.

### ● SAT 手法で扱える変数の数が急激に増大

SAT問題に対する基本的なアルゴリズムとしては, DPLL アルゴリズムが1960 年代に考案されました. そして それ以降, さまざまな改良がなされてきましたが, 1990年 代までは,扱える論理変数の数はそれほど大きくならず, 結果として形式的検証分野からの興味は, それほど大きく ありませんでした.

しかし、図2に示すように、2000年辺りを境として、扱 える変数の数が急激に増大しました、図では、横軸が年代 であり、縦軸は扱える変数の数を示しています、問題の難 しさは,扱える変数の数に対して指数的に増大するはずで す.にもかかわらず,図2のグラフでは,年代に対して扱 える変数の数があたかも指数的に増大しているのではない かと思われるくらいになっている点に注意する必要があり ます、これは、計算機科学的な常識ではありえない事が起 こっていることになります.

実際には,以下で示すような改良が1990年代後半から行 われ始めたためです、これが現在まで続いている結果とし て、図2に示すような規模のSAT問題を解くことのできる SAT ソルバが開発されています.

- ●基本アルゴリズムは変数の場合分けを繰り返し,途中で 矛盾が生じたらほかの場合を総当たり的に調べるという ことであるが,一度矛盾が生じた場合にその原因を特定 し,同じような矛盾に対する解析を二度としないように 改良した.
- ●変数の値が部分的に決まった際の影響がほかにも伝播す ることを計算するアルゴリズムを大きく改良した.
- 実際のプログラムとして性能向上を図るために,キャッ



図2 SAT 手法が急速に進歩 2000年辺りを境として,扱える変数の数が急激に増大した.

シュ・ヒット率なども考慮してデータ構造や処理アルゴ リズムをチューニングした.

● 変数の場合分け順の決定アルゴリズムにさまざまな工夫 を施した.

SATソルバに対するコンテストが毎年開催されていま す.このコンテストでは,前年度の優勝ツールそのままで は次年度に入賞すらできません.SATソルバについては, このような速いペースの性能改善が今でも続いています. 結果として,現状で,数百万変数からなる論理式の充足可 能性判定を数時間で行えるまでになっています。

論理式を計算機で扱うための技術として,2分決定グラフ (BDD: binary decision diagram)があります. しかし BDD では数百変数の論理式を扱うのが限度です.このこと を考えると, SAT ソルバの性能は驚異的であると言えます.

### ● SAT ソルバでは10万ゲート程度まで扱える

順序回路の検証の場合、問題の複雑さという観点からは、 回路中のゲート数と順序回路を時間軸方向に何サイクル解 析するかということから議論できます.

今,10万ゲートの回路があったとします.それを10サ イクル解析する問題をSAT問題に変換すると、(10万×10 サイクル×各ゲートの入出力数)だけ変数が現れ,数百万 変数が必要になります.現状のSAT ソルバの性能はそれ くらいが限界であるため、その意味で、10万ゲート程度ま で扱えることになります.

この規模は,設計者が自分の設計部分を気軽に検証する には少し小さいかもしれません.しかし,設計をいくつか に分ければ,検証できることを意味しています.今後も SATソルバの進歩は続くと考えられることを考慮すると、 SAT手法による形式的検証は実用段階に入っていると言え るでしょう.

商用のモデル・チェッキング・ツールなどでも, SAT ソ ルバが内蔵されているのが普通です.そして,最近の進歩 がそのまま取り込まれることも多くなっています.

また,高位設計検証では,扱う変数が整数型など論理変 数に分解したくない場合があります.そのような整数変数 を含む論理式のある範囲のものは、一定の自動変換によっ て, SAT 問題に帰着する場合も多くあります. 高位設計検 証ツールでは、そのような変換も利用しながら、SATソル バが効果的に利用されています.

なお,最新のソルバも含めて,多くのSAT ソルバは,パ



(a)のように,順序回路を設 計者が指定した回数だけ時間 軸上に展開した回路を検証対 象とする.



(a)設計を時間軸上で一定回数展開して処理



(b) BMCをSAT問題として定式化

ブリック・ドメインのツールとして, Web からダウンロー ドできるものがたくさんあります. そこで, 扱う問題に合 わせて自分でSATソルバを改良して利用することを行っ ているグループも数多くあります.非常に高度な使い方で すが,自分で検証ツールを改良しながら使うことができる 環境では、価値は非常に高くなります、

### モデル・チェッキング技術の 現状と動向

モデル・チェッキングの基本アルゴリズムは,1980年代 初めに提案されました. その後さまざまな改良が加えられ, 現在ではハードウェア設計用モデル・チェッキング・ツー ルとして,数社から提供されています.それらのツールは 細部はかなり異なると考えられますが, 基本的なアルゴリ ズムは共通部分が多いといえます.

近年のSAT ソルバの性能向上の結果がそのまま現れる 形で、モデル・チェッキング・ツールが扱える設計規模も 増大しています.10万ゲート規模の設計が検証可能となっ ており,将来的にはより大規模な回路の検証も行えると考 えられます.

### ● 順序回路は指定した回数だけ展開する

ここで少し注意すべきこととして、モデル・チェッキン グの際、設計を何サイクルの範囲で解析する必要があるか という点があります.

設計を網羅的にカバーするには, すべての状態遷移がル ープになるまで回路を解析し続ける(このことを一般に fixed point 計算と呼ぶ)必要があります. しかしこれでは, 回路によっては非常に多数のサイクルに渡って解析しなけ

ればならないことになります.

一般にSATソルバを利用する場合には,数学的帰納法 を利用してfixed point 計算と等価なことを行うのも技術的 には可能です.しかしこの場合,扱える回路規模が小さく なってしまうという問題があります.

そこで現状では、図3に示すように、順序回路を設計者 が指定した回数だけ時間軸上に展開した回路を検証対象と するBounded モデル・チェッキング手法が広く利用されて います、このように順序回路を時間軸上で展開すれば、結 果としては,元の順序回路中の組み合わせ回路が展開した 回数だけ増大した組み合わせ回路となります.従って,そ のモデル・チェッキングはSAT問題としてそのまま定式 化できます、結果として高性能SATソルバを適用し、比 較的大規模設計に対するモデル・チェッキングが行えるこ とになります.

逆に言うと,展開した回数を超えるような解析は一切し ていないわけです、もし仕様に対する反例がその回数を超 えるものしか存在しない場合には、決して見つからないこ とになります.

### ● 設計を抽象化する手法の研究が進む

そこで、まず与えられた設計の抽象化を行い、その抽象 化されたものに対して通常のモデル・チェッキングを行う 手法についての研究が進められています、これは一部の商 用ツールにも導入されつつあります.

ここで言う設計の抽象化とは,最も単純には,元の設計 の複数の状態を一つにまとめる処理のことです,抽象化さ れた設計の状態数が小さくなるため,抽象化をどんどん進 めれば,必ずいつかはモデル・チェッキングが可能となり ます.

しかし,単純に状態をまとめただけでは,嘘の反例が生 成されることがあります、これは、抽象化された設計は正 しくないが、元の設計は正しい場合に相当し、抽象化され た設計に対する反例に対応する実行シーケンスが元の設計 にないことを意味します、このような場合には、その反例 が反例ではなくなるように設計抽象化処理の改良が行われ ます.

この改良を自動的に行う手法に関する研究が現在活発に 行われています.また,その中でもSAT手法が利用され ています. つまり, SAT ソルバの改良に伴い, 設計抽象化 の自動改良手法の性能の向上も期待できるわけです.

### ● ソフトウェアに対する手法のハードへの適用に期待

ソフトウェアに対するモデル・チェッキング手法の研究 も進んでいます.

JAXA 言語やC系言語に対するモデル・チェッカが研究 ツールとして公開されています.また,実用規模のソフト ウェアの検証を行った例も報告されるようになっています.

例えば, Linuxのカーネル・コード(400万行程度)のモ デル・チェッキングを行い,実際にいつくかのバグを発見 したという報告があります、これは、上で述べたプログラ ム記述の抽象化を施した上で, SAT ソルバで検証したもの です.数十台のワークステーションで並列処理を行うこと により, 数時間で検証しています. これは, SAT ソルバの 性能を最大限に生かしたものであると言えるでしょう.

ソフトウェア開発では、プログラム・コードをルール・ ベース的に判定するLINTツールもよく利用されています. しかし、ルールを詳細化したり、モデル・チェッキングの アイデアを利用することで、より詳細な検証を行う手法に ついても研究開発が進められています.

ソフトウェアに対する検証ツールは,一般にC言語系が 扱えるため,Cベース言語によるハードウェア設計で利用 することも考えられます.この種のツールでは,設計記述 として好ましくないパターンをルールの形で定義し、その パターンにヒットするコードを効率良く探すことで検証し ています、ルールにはユーザが定義できるものもあり、ハ ードウェア高位設計用のものも開発可能です.

今後,高位設計支援が進むにつれ,このような考えに基 づくツールも利用が進むと考えられます.

### 3

### 等価性検証技術の現状と動向

組み合わせ回路同士の等価性検証については,2000年ご ろから,既に実用ツールとして広く利用されています.

等価性を比較したい二つの順序回路について,フリップ フロップの対応が分かっている場合に相当します. テープ アウトする設計と,シミュレーションなどでしっかり検証 された回路との比較を最後に行うという使われ方がよくあ ります.

### ● 組み合わせ回路の等価性検証はすでに実用レベル

このような組み合わせ回路用の等価性検証ツールでは、 比較している二つの回路どうしは「近く」, 内部に互いに等 価である点が多数存在するという場合には極めて強力です. 1000万ゲートを越える設計同士の等価性も数時間で判定で きるようになっています.これは,回路全体に対する等価 性問題を内部等価点で分割し,分割された各部分回路同士 の等価性判定を繰り返すことで解いているからです.回路 規模が増大しても内部等価点が多数ある限り、検証時間の 増大もある程度抑えられるのです.

一方,もし内部等価点が少数しかない場合には,数十万 ゲート規模でも検証できないこともあります. 内部回路構 造がまったく異なる場合や, RTL(resister transfer level) 設計の記述に多数の内部ドント・ケアが存在する場合など が相当します、このような場合には、先ほどのSATソル バを単純に回路全体に適用して等価性を検証するしかなく、 扱える回路規模は,基本的にSATソルバの性能というこ とになります.

このように,組み合わせ回路に対する等価性検証はかな り実用的なツールとなっています.

### ● 順序回路の等価性検証は比較的小さい設計に限られる

一方,等価性を比較したい順序回路同士で,フリップフ ロップの対応が付かない場合には,組み合わせ回路の等価 性問題に帰着できなくなり、順序回路としての等価性を直 接調べる必要があります.

Cベース言語などによる高位設計記述から設計を開始す る場合に、上位設計と下位設計の等価性判定を行おうとす ると,現在では順序回路用の等価性判定ツールが必要にな ります.また,RTLから設計を開始する場合でも,回路中 の組み合わせ回路を部分的にフリップフロップをまたいで 移動させることで、回路全体のタイミング調整を行うリタ イミングと呼ばれる手法を利用している場合には,やはり 組み合わせ回路用の等価性判定ツールでは扱えなくなり、 順序回路用の等価性判定ツールを利用することになります.

順序回路用の等価性検証でも、モデル・チェッキングと 同じように,初期状態からすべての状態を網羅するまで状 態遷移を解析する fixed point 解析と,一定サイクル数しか 解析しないBounded解析に分けることができます.fixed point 解析が可能となるのは、モデル・チェッキングと同 じで、一定規模以下の比較的小さい設計に限られてしまい ます、そこで、実用的にはBounded解析が広く利用され ています.

なお, 等価性検証の場合, 二つの設計を比較することに なるので,検証ツールが扱わなければならない規模は,2 倍になることにも注意が必要です.

### ● 順序回路の等価性の意味に注意

順序回路の等価性検証で、まず注意すべきことは、等価 とはどういうことかということです.

組み合わせ回路の場合には、現在の入力が決まれば、出 力が決定するため,等価性の定義は自明でした.しかし, 順序回路の場合には,入力を受け取るタイミングと,出力 が送出されるタイミングは各設計で異なるのが普通です、 従って、そのようなタイミングも含めた等価性の定義を設 計者が行う必要があります.これは,場合によってはかな り複雑で,等価性の定義に誤りがあるという場合も決して なくはないということを注意する必要があります.

等価性検証であれ、モデル・チェッキングであれ、 Bounded 解析の場合は、例えば初期状態(通常は、リセッ ト状態)から一定サイクル数だけ,等価性を検証すること になります.しかし回路の性質によっては,あまり意味が ないこともあります.

例えば、キャッシュ・コントローラを検証することを考 えてみます、初期状態では、キャッシュ・メモリは一般に 空です.従って,初期状態から100サイクルや1000サイク ルについて解析して検証したとしても、キャッシュ・メモ リがいっぱいになることはありません.一方,キャッ シュ・コントローラの設計におけるバグ(不具合)は,キャッ シュがいっぱいになった場合の扱いに関することが多い ものです.この意味では, Bounded 解析はあまり意味がな



図4 途中状態からのBounded解析

通常は初期状態から検証するが, Bounded 解析を効率良く行うには,設計 者の指定した状態から行う場合も多い.このような場合には,指定した状態 が意味のある常態であるか否か(つまり,初期状態から到達可能な状態に含 まれるか否か)は設計者の責任で行うことになる.

いことになってしまいます.

### ● ツールの使い方のノウハウが重要

実際には、リセット状態から回路を一定サイクル解析す るのではなく、設計者が指定した状態から一定サイクル解 析するような工夫を施して利用するのが普通です.

このような場合には、図4に示すように、設計者がどの ような状態から解析するように指定するかで意味のある検 証ができるかどうかが決まります. 結果として, バグを発 見できるかが大きく異なってきます。もし実際には起こら ないような状態から解析を始めるように指定してしまうと、 実際の設計では起こりえないような動作を中心に検証して いることになってしまいます、逆に、うまい状態を指定で きると,容易にバグを発見できます.

どのような状態を指定すべきかは、各設計に大きく依存 します. さらに言うと, 利用する検証ツールが採用してい る検証手法にも依存するため,効率的な状態の指定を行う には,ツールごとの利用経験やトレーニングが必要になる 場合もあります、このような、一種の使い方のノウハウに 関する部分も重要であることには違いなく、いかに教育し ていくかも検討する必要があるといえるでしょう.

# 仕様記述手法の現状と動向

以前は、モデル・チェッキング・ツールに与える仕様の 表現の仕方は、各ツールでまちまちでした.しかし最近は、



図5 PSL から回路を自動生成して検証

与えられた PSL による仕様記述を自動的に回路に変換し,その回路と元の 設計を同時に処理することで,設計検証を行う.

PSL( property specification language ) や SVA( system verilog assertion )などの標準化が進み,ツールに関係なく 同じ形で仕様を与えられるようになりつつあります.

### ● 仕様記述はPSLとSVA が普及

PSL とSVA は,基本的には同じものであると考えられ ます.

SVA は Verilog HDL を元にした構文になっています. PSL は,同様のことを一般的に定義しています.単なる論 理式ではなく、時間シーケンスを表現するための正規表現 の導入,動作を表現するための状態遷移記述,さらにモデ ル・チェッカなどで広く利用されている時相論理(temporal logic)を用いたプロパティも記述できるようになっていま す.このようにさまざまな工夫がされた言語であるといえま すが, 言い換えると言語としては非常に大きいものになっ ています. そのため, 言語全体をサポートする検証ツールの 開発は必ずしも容易ではありません.

### ● 仕様記述を回路に変換して検証する研究が進む

PSL で表現された仕様を回路に変換して,シミュレーショ ンや形式的検証手法で検証を行う手法も提案されています.

図5に示すように、与えられたPSLによる仕様記述を自 動的に回路に変換し,その回路と元の設計を同時に処理す ることで,設計検証を行うものです.PSLでは一般的な記 述が扱えるため、検証ツールに依存しない検証手法として 価値は高いと考えられます.また,この手法を発展させる と、PSL の仕様記述から設計を自動生成できる可能性もあ ります.現在,いくつかの例で動作が確認されている状況 であり,今後が期待される研究です.

### ● 検証IPの流通が始まる

一方, 仕様記述言語が標準化されると, 仕様記述が商品 として流通するようになってきます. 例えば, ARM プロ セッサの AMBA バスやオンチップ・バスの標準の一つで ある OCP( open core protocol )などに関する仕様( プロパ ティの集合)は、いくつかの検証ベンダからすでに供給さ れています.

このように,一般に使われているものに対する仕様は, 既存のものを検証 IP(intellectual property)としてそのま ま利用することが可能となっています、モデル・チェッキ ングの場合、正しいプロパティを作成するというのは必ず しも容易なことではありません、このため、この種の検証 IPは今後,さらに広く利用されると考えられます.

一般に流通しない場合でも,一つの設計プロジェクト内 で多世代に渡る設計において,検証IPとして蓄積・再利用 が進むと考えられます.

以上,形式的検証手法の技術動向について,いくつかの 観点から説明しました.今後は,これらのほかにも,高位 設計手法との関連における形式的検証技術,ハードウェア, ソフトウェア協調設計に関する形式的検証技術, さらに, ディジタル回路だけでなく,アナログ回路も含めたミック スト・シグナル設計に対する形式的検証手法などの研究が 活発に続けられると考えます.

ふじた・まさひろ

東京大学 大規模集積システム設計教育研究センター(VDEC)教授

### <筆者プロフィール> —

藤田昌宏 . 1985年, 東京大学大学院 情報工学専門課程修了. 工学博士.同年,富士通研究所入社.論理設計用CAD技術の 研究開発に従事: 1993年より米国富士通研究所へ出向, CAD 研究グループを立ち上げる.2000年3月より東京大学大学院工 学系研究科電子工学専攻 教授.2004年4月より東京大学 大規 模集積システム設計教育研究センター(VDEC)教授.ディジタ ル・システム設計支援技術、とくにシステム・レベル合成、論理 合成,論理検証を中心に研究している.